ASP.NET Core 入门教学十三 使用JWT进行身份验证

最新推荐文章于 2024-09-06 15:24:58 发布
最新推荐文章于 2024-09-06 15:24:58 发布
阅读量479 收藏 1
点赞数 3
文章标签: asp.net ui 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/masonwu21/article/details/141941718
版权
目录
  1. JWT简介
  2. 安装必要的NuGet包
  3. 配置JWT身份验证
  4. 创建用户认证服务
  5. 生成和验证JWT令牌
  6. 保护API端点
  7. 刷新令牌机制
  8. 最佳实践
正文内容
1. JWT简介

JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。每一部分都是Base64编码的JSON字符串,并用点号(.)分隔。JWT的主要优点包括:

  • 自包含性:所有必要的信息都包含在令牌中,减少了服务器查询数据库的次数。
  • 安全性:通过签名确保数据的完整性和真实性。
  • 跨域支持:JWT可以在不同的域之间安全地传输。
2. 安装必要的NuGet包

首先,我们需要安装Microsoft.AspNetCore.Authentication.JwtBearer包,以便在ASP.NET Core中使用JWT。

 

dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer
 

3. 配置JWT身份验证
 

Startup.cs文件中,我们需要进行以下配置以启用JWT身份验证:
 

 

public void ConfigureServices(IServiceCollection services)
{
    services.AddControllers();

    // 配置JWT身份验证
    var key = Encoding.UTF8.GetBytes("your_secret_key"); // 替换为你的密钥
    services.AddAuthentication(x =>
    {
        x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
        x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
    })
    .AddJwtBearer(x =>
    {
        x.RequireHttpsMetadata = false;
        x.SaveToken = true;
        x.TokenValidationParameters = new TokenValidationParameters
        {
            ValidateIssuerSigningKey = true,
            IssuerSigningKey = new SymmetricSecurityKey(key),
            ValidateIssuer = false,
            ValidateAudience = false
        };
    });
}

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    if (env.IsDevelopment())
    </tool>
 

4. 创建用户认证服务
 

我们需要创建一个用户认证服务来处理用户的登录请求并生成JWT令牌。
 

 

public class AuthService
{
    private readonly IConfiguration _configuration;
    private readonly IMapper _mapper;

    public AuthService(IConfiguration configuration, IMapper mapper)
    {
        _configuration = configuration;
        _mapper = mapper;
    }

    public async Task<string> LoginAsync(UserForLoginDto userForLoginDto)
    {
        // 验证用户凭据
        var userFromRepo = await _userRepository.Login(userForLoginDto.Username.ToLower(), userForLoginDto.Password);

        if (userFromRepo == null)
            throw new Exception("Invalid username/password");

        // 生成JWT令牌
        var tokenHandler = new JwtSecurityTokenHandler();
        var key = Encoding.ASCII.GetBytes(_configuration.GetSection("AppSettings:Token").Value);
        var tokenDescriptor = new SecurityTokenDescriptor
        {
            Subject = new ClaimsIdentity(new Claim[]
            {
                new Claim(ClaimTypes.NameIdentifier, userFromRepo.Id.ToString()),
                new Claim(ClaimTypes.Name, userFromRepo.Username)
            }),
            Expires = DateTime.Now.AddDays(1),
            SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha512Signature)
        };
        var token = tokenHandler.CreateToken(tokenDescriptor);
        var tokenString = tokenHandler.WriteToken(token);

        return tokenString;
    }
}
 

5. 生成和验证JWT令牌
 

在上面的AuthService中,我们已经展示了如何生成JWT令位,在Startup.cs文件中配置了如何验证JWT令牌。
 

6. 保护API端点
 

我们可以使用[Authorize]属性来保护API端点,确保只有经过身份验证的用户才能访问。
 

 

[ApiController]
[Route("api/[controller]")]
public class UsersController : ControllerBase
{
    [HttpGet("{id}")]
    [Authorize]
    public async Task<IActionResult> Get(int id)
    {
        // 获取用户信息
    }
}
 

7. 刷新令牌机制
 

为了提高安全性,可以实现一个刷新令牌机制,允许用户在JWT令牌过期后获取新的令牌,而无需重新登录。
 

8. 最佳实践
 

  • 密钥管理:确保密钥的安全存储,不要硬编码在代码中。
  • 令牌过期时间:设置合理的令牌过期时间,平衡安全性和用户体验。
  • HTTPS:始终使用HTTPS来保护令牌在传输过程中的安全。
 

结语
 

通过本教程,我们学习了如何在ASP.NET Core项目中使用JWT实现安全的身份验证。JWT提供了一种强大且灵活的方式来管理用户身份和权限,希望你能将这些知识应用到实际项目中,提升应用的安全性和用户体验。

                

        

        

    

  


    

      

        

            

              
                
                  充值内卷
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    3
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
                
  • 
                  
                    打赏
                    
                  
                  
    打赏
    
                
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
ASP.NET Core中轻松使用JwtBeare进行身份验证

				
			

			

				

					软件开发学习交流
				

				

					05-15
					
					951
					
				

			

		

		

			
				
JwtBearer简介首先要搞清楚什么是JwtBearer,JwtBearer是ASP.NET Core的OAuth 2.0 JWT Bearer身份验证提供程序。它提供了对JWT令牌进行验证的功能,然后允许将令牌中包含的声明(claims)用于用户身份验证和授权控制。Json Web Token (JWT)是一种Web标准,用于在不同系统间传输数据。JWT是一种可验证的和安全的方式,用于在各种应用程序之间传递信息。JWT具有一定的安全性,因为它是通过密钥对JWT进行签名的,以确保意味着不能进行篡改或伪造。

			
		

	



                

              
                



	

		

			

				
					
ASP.NET Core 入门指南(菜鸡随笔)

				
			

			

				

					kusse的博客
				

				

					04-18
					
					533
					
				

			

		

		

			
				
ASP.NET Core 入门指南(菜鸡随笔)

			
		

	



                


  
              

                


	

		

			

				
					
ASP.NET Core高级之认证与授权(一)--JWT入门-颁发、验证令牌

				
			

			

				

					物联网大联盟
				

				

					01-04
					
					1987
					
				

			

		

		

			
				
正如每个人的家都需要锁门,每个系统也都需要对用户进行一些访问的控制,从而使系统更加地安全。

			
		

	





	

		

			

				
					
ASP.NET Core学习之使用JWT认证授权详解

				
			

			

				

					12-16
				

			

		

		

			
				
概述  认证授权是很多系统的基本功能 , 在以前PC的时代 , 通常是基于cookies-session这样的方式实现认证授权 , 在那个时候通常系统的用户量都不会很大, 所以这种方式也一直很好运行, 随着现在都软件用户量越来越大, ...

			
		

	



		

			
		



	

		

			

				
					
ASP.NET Core 入门教程

				
			

			

				

					08-23
				

			

		

		

			
				
然后,教程会涉及ASP.NET Core身份验证和授权。2.0版本引入了身份认证中间件,使得处理用户登录、注册和权限控制更加简单。这部分内容会涵盖基本的身份验证策略、Cookie认证、JWT(JSON Web Tokens)以及角色和...

			
		

	





	

		

			

				
					
ASP.NET Web API .NET 5 入门

				
			

			

				

					qq_37757480的博客
				

				

					09-29
					
					1030
					
				

			

		

		

			
				
如今,由于众多优势,大多数应用程序都是使用 Web API 开发的。Web API 为开发人员或集成工程师提供了在各种应用程序之间进行通信的选项。Web API 减少了依赖关系,并减少了应用程序之间的耦合。
Web API 不是技术而是概念,可以使用任何技术(如 .Net、Java、Node js、PHP 等)构建。不需要了解 Web API 的后端技术,并且可以轻松实现它,从而打开了广泛的用途和概念。
在本文中,我们将详细探讨 Web API,它是什么以及如何在 ASP.Net 中开发 Web API,.

			
		

	





	

		

			

				
					
ASP.NET Core 2.2 官方教程,netcore入门教程,C#

				
			

			

				

					09-11
				

			

		

		

			
				
安全方面,ASP.NET Core 2.2 提供了强大的身份验证和授权机制,包括OAuth2、OpenID Connect和JWT令牌等,可以轻松实现用户身份验证和保护API资源。  总的来说,ASP.NET Core 2.2官方教程涵盖了从基础概念到高级特性...

			
		

	





	

		

			

				
					
ASP.NET MVC+LayUI视频上传完整教程

				
			

			

				

					技术杂谈,聚焦优质文章、开源项目、实用工具和学习、工作、面试心得分享。博客园推荐博客、阿里云专家博主,擅长于C#、.NET、.NET Core、Golang、TypeScript、Vue、Uni App、Angular开发。
				

				

					08-28
					
					1290
					
				

			

		

		

			
				
前段时间在使用APS.NET MVC+LayUI做视频上传功能的时,发现当上传一些内存比较大的视频就会提示上传失败,后来通过查阅相关资料发现.NET MVC框架为考虑安全问题,在运行时对请求的文件的长度(大小)做了限制默认为4MB(4096KB),因此我们需要在Web.Config中设置最大请求文件长度大小,本文主要讲解如何设置Web.Config中的最大请求文件大小配置和提供一个完整的ASP.NET MVC+LayUI上传视频的教程。

			
		

	





	

		

			

				
					
基于 ASP.NET的教材管理信息系统的设计与实现(最新定制开发,阿龙原创设计)✅

				
			

			

				

					程序员阿龙的博客
				

				

					08-29
					
					1742
					
				

			

		

		

			
				
​
博主介绍:
  ✌我是阿龙,一名专注于Java技术领域的程序员,全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师,我在计算机毕业设计开发方面积累了丰富的经验。同时,我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导,我致力于帮助更多学生完成毕业项目和技术提升。

技术范围:
  我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习

			
		

	





	

		

			

				
					
UI自动化测试 —— web端元素获取&元素等待实践!

				
			

			

				

					qq_43371695的博客
				

				

					09-02
					
					1259
					
				

			

		

		

			
				
Web UI自动化测试是一种软件测试方法,通过模拟用户行为,自动执行Web界面的各种操作,并验证操作结果是否符合预期,从而提高测试效率和准确性。

			
		

	





	

		

			

				
					
设计模式-行为型模式-状态模式

					
最新发布

				
			

			

				

					LB_bei的博客
				

				

					09-06
					
					373
					
				

			

		

		

			
				
允许一个对象在其内部状态改变时改变他的行为,用于解决系统中复杂对象的状态转换以及不同状态下行为的封装问题,状态模式将一个对象的状态从该对象中分离出来,封装到专门的状态类中,使得对象的状态可以灵活变化;

			
		

	





	

		

			

				
					
项目实战 ---- 商用落地视频搜索系统(5)---service层核心

				
			

			

				

					talentyiyy的专栏
				

				

					09-03
					
					224
					
				

			

		

		

			
				
之前的 1-5 重点在介绍系统的实现架构,录入数据的组织形式,存储模式,search 方式,以及后期算法等。现在来看,基本的后端实现我们都具备了,当然后期还会带着各位进一步优化,但从数据结构及录入与query的体现架构来看,系统运作经过前期纯后台测试,还是很不错的。这里的设计核心思想与MVC很类似,现在的软件设计概念层出不穷,后来又搞了一个mvvc,其实最基本的核心思想都大同小异,model,view ,controler。而上面还有UI部分的 controler,那是与页面接壤的service 部分。

			
		

	





	

		

			

				
					
如何在车载中控上进行UI自动化测试

				
			

			

				

					朱雀随云记的博客
				

				

					09-01
					
					636
					
				

			

		

		

			
				
②、右击项目目录-->open-->explorer,直接进入项目所在文件夹-->进入.\venv\Scripts目录,在地址栏输入cmd 回车,直接进入对应目录环境,执行activate.bat 进入虚拟环境-->执行pip 安装appium-python-client和selenium命令。说到车载测试,很多人都很好奇,车载中控是否需要UI自动化测试,从市场反馈来说,在6-7年之前的车载中控测试就已经介入UI自动化测试,那时候还是使用java+UIautomator框架。用于界面的元素定位。

			
		

	





	

		

			

				
					
C# WPF 读取西门子S7系列PLC

				
			

			

				

					zls365365的博客
				

				

					09-05
					
					403
					
				

			

		

		

			
				
在C# WPF应用程序中,与西门子S7系列PLC进行通信是一个常见的需求,尤其是在工业自动化领域。以下是三种实现WPF上位机与西门子S7系列PLC通信同步的方式,每种方式都提供了代码实例、优缺点和使用场景。1. 使用S7.Net库代码示例:csharp// 创建PLC连接
var plc = new S7.Net.Plc(CpuType.S71500, "192.168.1.10", 0, 1);...

			
		

	





	

		

			

				
					
OHIF Viewer 基础查看器的相关

				
			

			

				

					qq_45947672的博客
				

				

					09-02
					
					669
					
				

			

		

		

			
				
在@ohif/ui 加自定义的组件。

			
		

	





	

		

			

				
					
Web Worker多线程编程

				
			

			

				

					Jinuss的博客
				

				

					09-01
					
					435
					
				

			

		

		

			
				
前端web work多线程编程

			
		

	





	

		

			

				
					
『功能项目』Unity本地数据库读取进入游戏【29】

				
			

			

				

					weixin_69360830的博客
				

				

					09-06
					
					483
					
				

			

		

		

			
				
本地数据库读取登陆注册账号进入游戏

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
充值内卷

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值